2024年、セキュリティ業界で進むさらなる規制と取り締まり 企業はどう動けばいい？：Cybersecurity Dive

民間企業や重要インフラストラクチャの提供者は、製品のセキュリティや情報共有、データセキュリティの透明性に関してこれまでにない要求に直面している。

[David Jones，Cybersecurity Dive]

　バイデン政権は、国家サイバーセキュリティ戦略を打ち出してから1年もたたないうちに（注1）、重要インフラストラクチャを保護し、製造業者に製品セキュリティの責任を負わせ、民間企業に重要な事項の開示を義務付ける取り組みを進めている。

　サイバーリスクに対する懸念は企業が直面する最も深刻な課題の一つになっている。ドイツの保険会社Allianzが発表している調査レポート「アリアンツ・リスクバロメーター」によると（注2）、データ漏えいやランサムウェア、通信障害などのサイバーイベントは事業の中断に取って代わり、米国企業における最大の懸念事項となっている。

　法律事務所であるBaker McKenzie’sの2024年の紛争予測によると（注3）、サイバーセキュリティとデータプライバシーが主要な懸案事項となっていることが分かった。

サイバー攻撃の激化で進むセキュリティ規制

　犯罪的なランサムウェアや国家による悪質なサイバー脅威の急増によって、2024年にはサイバーセキュリティ規制の推進が新たな展開を迎えると予想される。

　マンハッタンの元地方検事であり、Baker McKenzie’sの北米エンフォースメントプラクティスの共同責任者であるサイラス・ヴァンス氏によると、新たな規制環境の強化によって、企業はサイバーインシデントに発展する前に潜在的な脅威を特定できるよう、より積極的なリスク管理のためのアプローチを取らざるを得なくなるという。

　ヴァンス氏は「これには、より強固なリスク評価プロセスの構築や継続的なモニタリング、より高度なセキュリティ対策の実施が含まれる」と述べた。

　一例として、ヴァンス氏はニューヨーク州金融サービス局による規制強化を挙げた（注4）。これによって企業はサイバーレジリエンスと準備状況の証明が求められる。

　上場企業は、SolarWindsに対する米国証券取引委員会（SEC）の訴訟を注視し（注5）、企業や主要幹部がどのように重要事項を開示し、サイバーリスクについて透明性を確保すべきかの指針を探っている。

　SECは、2020年の国家と連携した攻撃者によるマルウェア「Sunburst」攻撃の前に、リスクについて投資家を欺いたとして、SolarWindsと同社のCISO（最高情報セキュリティ責任者）であるティム・ブラウン氏を告発し（注6）、サイバーコミュニティーの多くに衝撃を与えた。

　元連邦検事であり、Crowell＆Moringのパートナーでもあるジェニー・ワン・ヴォンキャノン氏は「SECのサイバーセキュリティ規則の肝は重大性だ」と指摘した。

　企業はサイバーリスクについて過去に投資家に伝えた内容を精査し、今後その情報を更新するかどうかを検討している。また組織はインシデント対応計画を策定し、机上演習を実施するなど、万全の準備を整えている。

　その目的は重大なインシデントが発生した場合に、迅速に対応できるようにすることだ。

　これらの準備は非常に重要だ。なぜなら2023年12月に順守を義務付けられたSECの規則において、上場企業は重大性を判断してから4営業日以内にインシデントをSECに報告しなければならないためだ（注7）。

　重要インフラストラクチャの提供者は、「2022年重要インフラに関するサイバーインシデント報告法」（CIRCIA）に基づく追加の報告義務を負う（注8）。米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は、規則について告知し、2024年3月までパブリックコメントを受け付ける予定だ。

取り締まりへの反発が高まる

　2024年1月26日（現地時間）に提出された書類によると、SolarWindsはSECの主張に反発しており（注9）、同社は攻撃のリスクについて繰り返し投資家に警告していたと主張している。また、同社は「当社は当局に3年間協力していたにもかかわらず、SECはゴールを変更しようとしている」と語った。

　SolarWindsは声明において「当社は、前例のないSunburstによるサイバー攻撃の前後に適切で正確な開示を実施しており、SECの本申し立ては却下されるべきだ」と述べている。

　PwCにおいてサイバーリスクと規制マーケティングを担当するパートナーリーダーのジョー・ノセラ氏によると、企業にとっての真の課題は、直接的な財務影響を決定することではなく、重大性の判断だという。

　「評判へのダメージや知的財産の喪失による将来の収入源の損失、顧客満足度、潜在的な規制上の措置など、これらは数学的な計算に馴染まない。そのため企業は重大性を判断するための定性的で文書化された枠組みを開発しなければならない」（ノセラ氏）

　連邦当局によるもう一つの主要な取り組みは、特に企業向けアプリケーションやハードウェアデバイスで使用される製品セキュリティの最低基準を引き上げることだ。

　CISAはソフトウェア開発者や技術メーカーに対し、セキュア・バイ・デザインとセキュア・バイ・デフォルトの原則を採用するよう促している。これによって企業は製品開発のライフサイクルにセキュリティへの配慮を組み込むようになり、アプリケーションや新しいデバイスをインストールした後にユーザーが大規模な設定変更を実施する必要がなくなる。

　CISAは2023年12月下旬に、セキュア・バイ・デザインの取り組みに関して（注10）、業界からの意見を求める旨を発表した。この取り組みでは、製品の脆弱（ぜいじゃく）性を減少させる方法や、製品セキュリティを高等教育に組み込む方法に焦点を当てている。

　プリンタメーカーであるLexmarkのCISOのブライアン・ウィレット氏は、サイバーセキュリティ規制のさらなる進展を、製品セキュリティの向上の手段として歓迎している。

　ウィレット氏は「製品のセキュリティを優先する企業は数多く存在する。しかし製品を開発して販売し、その後それを放置する企業の方がさらに多い」と指摘した。

　「企業や消費者がクラウドベースのサービスや、クラウドに接続されたデバイスへの依存度を高めるにつれて、これらの製品をどの程度信頼できるかの保証が必要になっている」（ウィレット氏）

サイバーレジリエンス法の合意によって企業に生じる変化とは？

　2023年11月下旬、欧州連合（EU）のサイバーレジリエンス法が合意に達し（注11）、EUで販売される全てのデジタル製品に対して、最低限のサイバーセキュリティ基準を満たすことが義務付けられた。

　この基準は、スマートウォッチやテレビなどの消費者向け製品や、企業で使用されるハードウェアやソフトウェアに適用される。

　欧州委員会の広報担当者によると、企業は設計や開発からリリースまで、製品のライフサイクル全体にわたって安全な開発を実施することが求められるという。

　他の地域的な取り組みと同様に、「GDPR」（EU一般データ保護規則）を含むこの措置の実際の効果は、拠点がどこにあろうとも多国籍製造業者の安全基準を引き上げる点にある。

　バイデン政権は2023年の夏に、独自のセキュリティラベルプログラムである米国サイバートラストマークを提案した（注12）。これは、特定のセキュリティ基準を満たしたスマートデバイスに対して認証を実行するものである。

　セキュリティカメラから医療機器、ネットワーク機器まで、スマートデバイスは年間に数十億回もハッカーの標的となっている。

　連邦通信委員会（FCC）のコミッショナーであるネイサン・シミントン氏は、2023年12月に開催されたPracticing Law Institute Conferenceにおけるスピーチで（注13）、「取り組みを推進しなければならない。現状、根本的な問題は、サイバーセキュリティの失敗に関して、デバイスメーカーやソフトウェアベンダーが法的責任を問われることがほとんどないことにある」と述べた。

　同プログラムを当初から支持しているシミントン氏は、次のように述べた。

　「サイバートラストマークを付与される製品は高いセキュリティ基準を満たす必要があり、連邦政府による購入もその基準を満たす必要がある。メーカーに対して、免責による保護を与えるべきではない」

（注1）To execute the national cyber strategy, it’s going to take the whole US government（Cybersecurity Dive）
（注2）Cyber tops business risk for enterprises worldwide, report finds（Cybersecurity Dive）
（注3）The Year Ahead Global Disputes Forecast 2024（Baker McKenzie）
（注4）Governor Hochul Announces Updates To New York's Nation-Leading Cybersecurity Regulations As Part Of Sweeping Effort To Protect Businesses And Consumers From Cyber Threats（Translate）
（注5）SOLARWINDS CORP. and TIMOTHY G. BROWN（UNITED STATES DISTRICT COURT SOUTHERN DISTRICT OF NEW YORK ）
（注6）For the SEC, the fraud case against SolarWinds is a cybersecurity warning shot(Cybersecurity Dive）
（注7）SEC cyber disclosure rules are taking effect: Here’s what to expect（Cybersecurity Dive）
（注8）Cyber Incident Reporting for Critical Infrastructure Act of 2022 (CIRCIA)（CISA）
（注9）SEC charges SolarWinds, its CISO with fraud（Cybersecurity Dive）
（注10）CISA seeks comment on secure by design principles to boost global software security（Cybersecurity Dive）
（注11）EU Cyber Resilience Act（European Commission）
（注12）White House unveils consumer labeling program to strengthen IoT security（Cybersecurity Dive）
（注13）Simington Remarks to the Practicing Law Institute Conference（Federal Communications Commission）

原文へのリンク